Condivisione e collaborazione

Questo documento fornisce scenari comuni di condivisione e collaborazione dei dati. È incluso come configurare i criteri IAM (Identity and Access Management) del progetto e del bucket per implementare gli scenari.

Archiviazione e manutenzione di dati privati

In questo scenario, l'analista di marketing di un'azienda vuole utilizzare Cloud Storage per eseguire il backup di dati riservati sulle previsioni delle entrate e sulle proiezioni delle vendite. I dati devono essere accessibili solo all'analista di marketing. Il reparto IT dell'azienda supervisiona e gestisce l'account Cloud Storage dell'azienda. Le loro principali responsabilità di gestione includono la creazione e la condivisione di bucket in modo che vari reparti dell'azienda abbiano accesso a Cloud Storage.

Per soddisfare le esigenze di riservatezza e privacy dell'analista di marketing, le autorizzazioni del bucket e degli oggetti devono consentire al personale IT di gestire il bucket in cui sono archiviati i fogli di lavoro, ma anche garantire che il personale IT non possa visualizzare/scaricare i dati archiviati nel bucket. Per farlo, crea un bucket denominato finance-marketing e concedi i seguenti ruoli per le risorse elencate agli principali specificati:

Ruolo Risorsa Entità Descrizione
Storage Legacy Bucket Owner Il bucket finance-marketing Personale IT Se assegni allo staff IT il ruolo Proprietario del bucket legacy per lo spazio di archiviazione per il bucket, potrà eseguire attività comuni di gestione del bucket, come eliminare oggetti e modificare la policy IAM nel bucket. Inoltre, consente al personale IT di elencare i contenuti del bucket finance-marketing, ma non di visualizzarli o scaricarli.
Storage Object User Il bucket finance-marketing Analista di marketing Assegnare all'analista di marketing il ruolo Utente oggetto archiviazione per il bucket consente di caricare, visualizzare, aggiornare ed eliminare gli oggetti al suo interno.

Con questi ruoli, nessuno, tranne l'analista di marketing, può visualizzare o scaricare gli oggetti nel bucket. Il personale IT può ancora elencare i contenuti del bucket finance-marketing ed eliminare e sostituire i file archiviati nel bucket, se necessario.

Implementare questo scenario

Le tue azioni

Per implementare lo scenario, devi eseguire le seguenti azioni:

  1. Crea un bucket denominato finance-marketing. Per istruzioni dettagliate, consulta la pagina Creare un bucket.

  2. Assegna a ogni membro del personale IT il ruolo Proprietario bucket legacy Storage per il bucket. Per istruzioni dettagliate, consulta Aggiunta di un principale a un criterio a livello di bucket.

Azioni del personale IT

Il personale IT deve eseguire le seguenti azioni per implementare lo scenario:

  1. Assegna all'analista di marketing il ruolo Utente oggetto archiviazione per il bucket. Per istruzioni dettagliate, consulta Aggiunta di un principale a un criterio a livello di bucket.

Cassetta del fornitore

In questo scenario, un'azienda di costruzioni collabora con diverse società di progettazione architettonica che forniscono progetti di edifici per vari progetti. L'impresa di costruzioni vuole configurare un Dropbox per le aziende fornitrici in modo che possano caricare i progetti architettonici nei vari traguardi del progetto. La cassetta deve garantire la privacy dei clienti dell'azienda di costruzioni, il che significa che non può consentire ai fornitori di vedere il lavoro degli altri. Per farlo, crea un bucket separato per ogni studio di architettura e concedi ai principali specificati i seguenti ruoli per le risorse elencate:

Ruolo Risorsa Entità Descrizione
Proprietario Progetto complessivo Gestore di un'impresa di costruzioni Se al gestore dell'azienda edile viene assegnato il ruolo Proprietario a livello di progetto, può creare bucket per ogni fornitore.
Visualizzatore oggetti Storage Progetto complessivo Gestore di un'impresa di costruzioni Visualizzatore oggetti Storage consente al gestore dell'azienda di costruzione di scaricare gli oggetti caricati dai fornitori.
Storage Legacy Bucket Owner Ogni bucket del fornitore Gestore di un'impresa di costruzioni Il ruolo Proprietario del bucket legacy di archiviazione consente al gestore dell'azienda di costruzione di elencare i contenuti di ogni bucket ed eliminare gli oggetti al termine di ogni traguardo del progetto.
Storage Object Admin Ogni bucket del fornitore Il fornitore associato al bucket Se concedi a ciascun fornitore il ruolo Amministratore oggetti archiviazione per il proprio bucket, gli concedi il controllo completo sugli oggetti al suo interno, inclusa la possibilità di caricare oggetti, elencare gli oggetti nel bucket e controllare chi ha accesso a ogni oggetto. Non consente loro di modificare o visualizzare metadati come i ruoli nel bucket nel suo complesso, né di elencare o visualizzare altri bucket nel progetto, preservando così la privacy tra i fornitori.

Implementare questo scenario

Le tue azioni

Per implementare lo scenario, devi eseguire le seguenti azioni:

  1. Assegna al gestore della ditta di costruzioni il ruolo Proprietario per il progetto, nonché il ruolo Visualizzatore oggetti Storage per il progetto. Per istruzioni dettagliate, consulta Concedere un singolo ruolo.

Azioni del gestore dell'azienda di costruzioni

Il gestore dell'azienda di costruzioni deve eseguire le seguenti azioni per implementare lo scenario:

  1. Crea un bucket separato per ogni fornitore. Per istruzioni dettagliate, consulta Creare un bucket.

    Poiché il responsabile della costruzione ha il ruolo Proprietario, ottiene automaticamente il ruolo Proprietario bucket legacy Storage per ogni bucket che crea.

  2. Assegna a ciascun fornitore il ruolo Amministratore oggetti Storage per il rispettivo bucket. Per istruzioni dettagliate, consulta Aggiunta di un principale a un criterio a livello di bucket.

  3. Se un fornitore intende utilizzare la console Google Cloud, fornisci un link al suo bucket, nel formato:

    https://console.cloud.google.com/storage/browser/BUCKET_NAME

    dove BUCKET_NAME è il nome del bucket del fornitore.

Azioni del fornitore

Per implementare lo scenario, ogni fornitore deve eseguire le seguenti azioni:

  1. Carica gli oggetti nel bucket assegnato. Il modo più semplice per farlo è tramite la console Google Cloud. Altri metodi, come Google Cloud CLI, richiedono una configurazione aggiuntiva prima dell'uso. Per istruzioni dettagliate, consulta Caricare un oggetto.

Download autenticati dal browser

In questo scenario, un cliente vuole rendere disponibili i file per persone specifiche tramite semplici download del browser. Puoi farlo utilizzando l'autenticazione basata su cookie di Cloud Storage. Per scaricare gli oggetti, gli utenti devono autenticarsi accedendo a un account valido, che include Google Workspace, Cloud Identity, Gmail e la federazione delle identità della forza lavoro. I seguenti utenti autenticati possono scaricare l'oggetto:

Tutti gli altri utenti ricevono un errore 403 Forbidden (access denied).

Per utilizzare la funzionalità, concedi a un utente l'autorizzazione per accedere a un oggetto, quindi fornisci all'utente un URL speciale per l'oggetto. Quando l'utente fa clic sull'URL, Cloud Storage gli chiede di accedere al proprio account (se non l'ha già fatto) e l'oggetto viene scaricato sul computer.

Implementare questo scenario

Puoi implementare l'autenticazione basata su cookie in quattro passaggi generali:

  1. Crea un bucket. Per istruzioni dettagliate, consulta la pagina relativa alla creazione di un bucket.

    Se crei un bucket in un progetto di tua proprietà, ottieni automaticamente le autorizzazioni che ti consentono di caricare oggetti nel bucket e di modificare chi ha accesso al bucket.

  2. Carica l'oggetto che vuoi condividere. Per istruzioni dettagliate, consulta Caricare un oggetto.

  3. Consenti agli utenti di accedere all'oggetto. Un modo comune per farlo è modificare il criterio IAM del bucket per assegnare a utenti specifici il ruolo Visualizzatore di oggetti di archiviazione, che si applica a tutti gli oggetti del bucket. Per istruzioni dettagliate, consulta Aggiunta di un'entità a un criterio a livello di bucket.

  4. Fornisci agli utenti un URL speciale per l'oggetto.

    I download del browser autenticato accedono a Cloud Storage tramite un endpoint URL specifico. Utilizza il seguente URL:

    https://storage.cloud.google.com/BUCKET_NAME/OBJECT_NAME

    Dove:

    • BUCKET_NAME è il nome del bucket che contiene l'oggetto desiderato. Ad esempio, my-bucket.
    • OBJECT_NAME è il nome dell'oggetto desiderato. Ad esempio, pets/dog.png.

    Poiché solo gli utenti con autorizzazioni di accesso appropriate possono visualizzarlo, non importa come rendi disponibile questo URL. Puoi inviarli direttamente o pubblicarli su una pagina web.

Utilizzare un gruppo per controllare l'accesso

In questo scenario, vuoi rendere disponibili gli oggetti per utenti specifici, ad esempio gli utenti invitati a provare nuovo software. Inoltre, vuoi invitare molti utenti, ma non vuoi impostare le autorizzazioni singolarmente per ogni utente. Allo stesso tempo, non vuoi rendere gli oggetti leggibili pubblicamente e inviare ai clienti invitati i link per accedere agli oggetti, perché esiste il rischio che i link vengano inviati a utenti che non sono stati invitati.

Un modo per gestire questo scenario è utilizzare Google Gruppi. Puoi creare un gruppo e aggiungere solo gli utenti invitati. Poi, puoi concedere l'accesso agli oggetti al gruppo nel suo complesso:

Ruolo Risorsa Entità Descrizione
Visualizzatore oggetti Storage Il tuo bucket Gruppo Google Se assegni al gruppo Google il ruolo Visualizzatore oggetti Storage per il bucket, qualsiasi cliente che fa parte del gruppo Google può visualizzare gli oggetti al suo interno. Nessun utente esterno al gruppo ha accesso agli oggetti.

Implementare questo scenario

  1. Crea un gruppo Google e aggiungi i clienti. Per istruzioni dettagliate, consulta Creare un gruppo.

  2. Crea un bucket. Per istruzioni dettagliate, consulta la pagina Creare un bucket.

  3. Carica oggetti nel bucket. Per istruzioni dettagliate, consulta Caricare un oggetto.

  4. Concedi al gruppo Google l'accesso agli oggetti.

    • Puoi utilizzare il ruolo IAM storage.objectViewer per concedere l'accesso in visualizzazione a tutti gli oggetti nel bucket. Per istruzioni dettagliate, consulta Aggiunta di un principale a un criterio a livello di bucket.

    • Se vuoi concedere l'accesso solo ad alcuni degli oggetti nel bucket, imposta l'ACL Lettore su questi singoli oggetti. Per istruzioni dettagliate, consulta Impostare le ACL.

  5. Condividi con il gruppo l'endpoint della richiesta appropriato, in modo che sappia dove andare per accedere agli oggetti.

    Ad esempio, quando utilizzi la console Google Cloud, l'URL https://console.cloud.google.com/storage/browser/BUCKET_NAME ti reindirizza all'elenco degli oggetti nel bucket BUCKET_NAME.

Utilizzare le cartelle gestite per controllare l'accesso

In questo scenario, hai più clienti, ognuno dei quali possiede un sito web unico contenente immagini personalizzate. Vuoi che i clienti possano caricare immagini solo sul loro sito web, ma non su altri siti web. Quando un cliente annulla il suo account, vuoi disattivare l'accesso pubblico alle immagini sul suo sito web, ma evitare di eliminarle nel caso in cui il cliente voglia riattivare il suo account.

Un modo per gestire questo scenario è utilizzare le cartelle gestite. Puoi creare più cartelle gestite all'interno di un bucket e utilizzare IAM per controllare l'accesso alle singole cartelle gestite sia per i tuoi clienti sia per i relativi utenti finali.

Implementare questo scenario

  1. Crea un bucket.

  2. Crea una cartella gestita nel bucket per ogni sito web del cliente.

  3. Per ogni cartella gestita, imposta un criterio IAM che assegni al cliente il ruolo Utente oggetto archiviazione (roles/storage.objectUser), in modo che il cliente possa caricare oggetti nella cartella gestita e rimuoverli dalla stessa.

  4. Per tutte le cartelle gestite, imposta un criterio IAM che assegni il ruolo Visualizzatore oggetti Storage (roles/storage.objectViewer) all'entità principale allUsers, in modo che gli oggetti immagine nelle cartelle gestite possano essere visualizzati dal pubblico.

    In alternativa, puoi concedere un ruolo personalizzato che assegni a allUsers l'autorizzazione IAM storage.objects.get.

  5. Quando un cliente annulla il proprio account, rimuovi il criterio IAM che concede al cliente il ruolo Utente oggetto Storage (roles/storage.objectUser) per la cartella gestita associata. Per disattivare l'accesso pubblico agli oggetti all'interno di quella cartella gestita, rimuovi il criterio IAM che concede il ruolo Visualizzatore oggetti Storage (roles/storage.objectViewer) a allUsers.